wznutzer 35 Geschrieben vor 18 Stunden Melden Teilen Geschrieben vor 18 Stunden Guten Tag, evtl. habe ich den Begriff falsch gewählt. Während es üblich ist ganze Netzwerke voneinander zu treffen (VLANs), lese ich kaum etwas darüber die Windows-Firewall zu nutzen. Macht Ihr das auch? Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein. Ist das über das Ziel hinaus? Ich meine, man versucht sich ja so vor jemandem zu schützen der ohnehin schon im Netzwerk ist, andererseits gibt es ja die Sache mit lateral movement. Der kürzlich veröffentlichte Fall, bei dem über die Veeam-Dienste ein Konto angelegt worden war, wäre ja dadurch verhindert worden. Oder ist das in großen Netzwerken einfach nicht zu handeln? Grüße und einen schönen Tag Zitieren Link zu diesem Kommentar
NorbertFe 2.004 Geschrieben vor 18 Stunden Melden Teilen Geschrieben vor 18 Stunden (bearbeitet) vor 32 Minuten schrieb wznutzer: Ich mache das ziemlich extensiv mit RDP, WinRM, sogar die VeeamDienste schränke ich auf die nötigen Endpunkte ein. Also machst du es eher gar nicht? Oder exzessiv/intensiv? Grundsätzlich kann man sagen, alles was die Sicherheit erhöht ist nicht übers Ziel hinaus. ;) bearbeitet vor 17 Stunden von NorbertFe 1 Zitieren Link zu diesem Kommentar
testperson 1.652 Geschrieben vor 17 Stunden Melden Teilen Geschrieben vor 17 Stunden Je nachdem wie du es machst, ist da ja auch noch Luft nach oben: Part 3, 4, 5: Windows Firewall: The Series – AJ's Tech Chatter (anthonyfontanez.com) Endpoint Isolation with the Windows Firewall | by Dane Stuckey | Medium 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben vor 17 Stunden Autor Melden Teilen Geschrieben vor 17 Stunden vor 31 Minuten schrieb NorbertFe: Also machst du es eher gar nicht? Oder exzessiv/intensiv? Extensiv, ausgedehnt / umfassend, ob ich es auch exzessiv (maßlos) mache, weiß ich nicht. Aber lt. @testperson ist es noch ausbaubar . Zitieren Link zu diesem Kommentar
NorbertFe 2.004 Geschrieben vor 16 Stunden Melden Teilen Geschrieben vor 16 Stunden Lustig ich hatte die zweite Bedeutung im Hirn: Zitat auf großen Flächen, aber mit verhältnismäßig geringem Aufwand betrieben Zitieren Link zu diesem Kommentar
daabm 1.318 Geschrieben vor 11 Stunden Melden Teilen Geschrieben vor 11 Stunden Da fällt mir spontan immer das hier ein: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj721517(v=ws.11) Wird natürlich mehr als anstrengend in heterogenen Umgebungen - aber wenn alles unter Windows läuft und in der Domäne ist, ist das einfacher als hunderte von FW-Freigaben. Zitieren Link zu diesem Kommentar
cj_berlin 1.296 Geschrieben vor 6 Stunden Melden Teilen Geschrieben vor 6 Stunden Moin, da würde ich doch gern meinen Vorrat an 2-Cent-Münzen hier ausschütten Re Overkill: Ich predige seit Jahren, vermutlich inzwischen Jahrzehnten: In Sachen Security ist alles, was mit vorhandenem Know-How und mit den vorhandenen Resourcen managebar ist, einfach zu tun. Alles, was sich gut anhört, aber nicht managebar ist, ist einer Risikobewertung zu unterziehen - ist es riskanter, XYZ nicht zu machen, oder mit einem nicht beherrschbaren Konstrukt zu leben? In meinen Augen gehört der Fall "Alles ist im AD, hört auf GPOs und hat eine Windows-Firewall am Start, also machen wir granulare Firewall-Regeln per GPO" in die Kategorie "managebar". Re Mikrosegmentierung: Ich wünsche mir seit Jahren, wir hätten zwei Begriffe dafür. Und dann wäre in meiner Welt "Mikrosegmentierung" genau NICHT das, was die Windows-Firewall tut, sondern Distributed Firewalls egal welcher Art, die den Traffic auch innerhalb eines Subnetzes zwar granular steuern, den einzelnen Hosts aber verborgen bleiben. Aber wir haben soweit ich weiß nur den einen Begriff, also deckt er auch die Windows-Firewall ab. Warum hier unterscheiden? Eine Host-Firewall ist ein anderthalbschneidiges Schwert - einerseits schützt sie direkt an der Quelle, andererseits muss dafür die Konfiguration lokal vorgehalten werden. Und bei der Windows-Firewall ist sie noch nicht einmal obfuskiert. Somit erschwert man zwar im ersten Moment Lateral Movement eines potentiellen Angreifers, erleichtert ihm dafür jedoch zumindest in einem Punkt die Reconnaissance. Besonders viel schenkt man den Kolleginnnen dann, wenn man nicht nur eingehende, sondern auch ausgehende Regeln pflegt. Da ist der von @daabm zitierte Ansatz schon deutlich sparsamer in Bezug darauf, was durch die lokale Registry preisgegeben wird. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.